Re: Server dank IPFW sicher?

Patrick Hess <patrick_hess(at)t-online.de> wrote:
> Oliver Fromme schrieb:
> > Wenn Du IPFW nicht »vertraust«, wieso benutzt Du es dann
> > überhaupt?
> >
> > Bei ssh ist das schon viel schlimmer; das ist nicht wirk-
> > lich zu durchschauen (und ich traue ssh auch nicht -- zu
> > recht, wie die Historie zeigt).
>
> Aber du verwendest es. Warum?

Faulheit.

> Vermutlich, weil es keine Alternative
> gibt (Telnet sehe ich jetzt mal nicht als Ersatz an ;-). So geht es
> mir auch mit der IPFW.

Sowohl für ssh als auch ipfw gibt es brauchbare Alternati-
ven. Wobei ich bei IPFW eigentlich keinen Grund sehe, nach
einer Alternative zu suchen.

> Wobei "nicht vertrauen" vielleicht nicht
> ganz der richtige Ausdruck ist. Sagen wir mal, ich verlasse mich
> ungern nur auf _einen_ Schutz.

Da hast Du recht, ein Sicherheitskonzept sollte nicht al-
lein auf IPFW aufbauen. Das Motto »Wir haben einen Fire-
wall; jetzt sind wir sicher und können uns zurücklehnen«
ist leider weit verbreitet.

> Nur leider habe ich noch keinen zweiten Schutz.

Die Tatsache, daß Du keine Netzwerkdienste nach außen an-
bietest (keine offenen Ports) ist doch schonmal was.

> > > [...] Bleibt noch das Thema IP-Spoofing...
> >
> > Auch da hilft IPFW, zumindest für's Gröbste.
>
> Würdest du trotzdem zusätzliche Software empfehlen? Ich habe vor
> einiger Zeit mal im Netz gesucht und auch einige Anti-IP-Spoofing-
> Tools für FreeBSD gefunden. Ich konnte aber nicht wirklich etwas
> damit anfangen. Keine Ahnung, ob diese Pakete etwas getaugt hätten.

Hmm, das kann ich so leider nicht kommentieren. Da müßte
ich erst wissen, was diese Tools genau machen.

(Das ist generell eine Grundregel bei Software, die mit
Sicherheit zu tun hat: Installieren genügt nicht. Man
muß durch und durch _verstehen_, was sie tut und wie sie
funktioniert.)

> Dann würde mich noch eine letzte Frage interessieren: Sind
> eigentlich in letzter Zeit kritische Sicherheitslücken in der
> Paketfiltersoftware von FreeBSD aufgetreten? Bin leider noch nicht
> lange im BSD-Lager, als daß ich es mitbekommen hätte.

Mir sind keinerlei solche Lücken bekannt. Ich bin sicher,
daß mich jemand korrigieren wird, wenn es da doch etwas ge-
geben haben sollte. :-)

Aber wie gesagt, der eigentliche Filter-Code von IPFW ist
ziemlich straight-forward. Da können sich eigentlich nicht
viele Bugs einschleichen. Die komplexeren Teile darin ge-
hören eher zum Dummynet-Code (z.B. die Implementationen von
RED/GRED und WF2Q+), aber die sind nur für das Traffic-
Shaping von Bedeutung und haben nichts mit dem eigentlichen
Filtern zu tun.

Gruß
   Olli

-- 
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"All that we see or seem is just a dream within a dream" (E. A. Poe)
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message